Softwareinstallation als Basis Admin

hallo,

ich habe schon ausgiebig im forum gesucht, tue mich offensichtlich etwas schwer, eine lösung zu finden.

in unserer domäne existiert eine gruppe mit "Basis Admins", die keine domänen-admins sind, jedoch per gpo und gruppenzugehörigkeiten diverse rechte haben (benutzerverwaltung usw.). nun müssen diese user auch software installieren dürfen. das funktioniert jedoch nur eingeschränkt. auf welche weise kann ich am besten per gpo die berechtigung zur uneingeschränkten softwareinstallation vergeben?

danke + gruss

ben

hat niemand einen tipp dazu? oder ist meine beschreibung des problems unschlüssig formuliert?

danke + gruss

ben

Du erzeugst ein logon script in einer .cmd mit dem befehl:

net localgroup "Administratoren" "domäne\basis admins" /add

damit wird die gruppe der basis admins, den namen mußt du natürlich anpassen ;), in die Gruppe der lokalen Admins aufgenommen.

Definiere dieses Script in einer Computer GPO als Logon Script und verknüpfe sie mit der OU in der die PC's sind auf den dieses Basis Admins Software installieren dürfen.

hallo,

danke für deinen tipp. das bedeutet aber, dass die BasisAdmins auf jeder maschine lokale admins sind, oder? ich möchte das, wenn möglich, ohne lokale und domänen-adminrechte realisieren. geht das auch anders?

danke + gruss

ben

Reicht,

wie Hirgelzwift vorgeschlagen hat, evtl. auch "Hauptbenutzer" statt lokale Administratoren?

meißtens benötigt eine software installation admin rechte auf dem pc. wenn du das auch nicht willst kannst du noch einen trick anwenden:

erzeuge einen user der in der domäne nur benutzer rechte hat aber auf den pc's wohl wieder zu den lokalen admins zählt. nehme also diesen user über den vorgeschlagen script in die lokale admin gruppe auf.

erzeuge einen script in dem die installation läuft. wenn es xp clients sind dann kannst du der installationsroutine mit runas laufen lassen. bei w2K clients kannst du bei runas kein pw mitgeben, da mußt du dann auf ein 3rd party tool zurückgreifen. ich empfehle immer pcwrunas (ist freeware):

http://www.pcwelt.de/downloads/heft-cd/11-05/121503/

geht übrigens auch mit XP Clients, brauchst dann keine zwei batches.

wenn du aus sicherheitsgründen die batch noch unleserlich machen willst dann gibt es einen batch converter:

http://www.windows-software.de/info-1375.html

letzteres habe ich noch nicht getestet wurde aber hier im board schon empfohlen.

das (convertierte) batch lässt du dann beim logon des users laufen, z.B. als logon script oder rufst es aus deinem logon skript heraus auf.

ich hoffe meine ausführungen waren verständlich.

viel spaß und viel erfolg :)

hallo,

nach einiger suche habe ich nun doch noch etwas gefunden. im entsprechenden GPO kann man folgendes setzen:

Administrative Vorlagen -> Windows Komponenten -> Windows Installer

"Immer mit erhöhten Rechten installieren" (bei computer und benutzer)

bin gerade am testen. sieht aber erstmal gut aus. danke trotzdem für die tipps.

gruss ben

Hallo,

mit erhöten rechten klappt zumindest nicht mit office zusammen.

wenn du word, excel etc. über ein packet bereit stellst funzt die installation nicht.

da kommt wieder die meldung wie oben beschrieben.

das mit dem script hört sich doch prima an.

mfg. rzeh

Wenn ich das richtig lese gilt der Key nur wenn die SW vorher für den Computer / dem Benutzer veröffentlicht bzw. zugewiesen wurde.

Ausserdem gibt es ja auch noch SW die den Windows Installer nicht verwendet (immer noch).

Pakete wie Office könnte man ja auch über GPO zuweisen da raucht man den Key dann gar nicht.

nein. das stimmt so nicht ganz. das bezieht sich nicht auf zugewiesene software. dieses recht tritt erst in kraft, wenn die kombination der berechtigung für rechner und user gesetzt ist.

so ist es bei uns in der testumgebung auch umgesetzt und funktioniert bis jetzt gut. hat noch gar nichts mit zugewiesener software zu tun.

es muss also auf dem zielrechner (computersetting) und für den installierenden user (usersetting) dieses recht per GPO gesetzt sein.